VulDB: Oracle Java SE JRE bis 7 Update 4 Hotspot Pufferüberlauf
Allgemein
scipID: 5548
Betroffen: Oracle Java SE JRE bis 7 Update 4
Veröffentlicht: 12.06.2012
Risiko: 
kritisch
Eintrag: 87% komplett
Erstellt: 14.06.2012
Aktualisiert: 03.09.2012
Beschreibung
In Oracle Java SE JRE bis 7 Update 4 wurde eine kritische Schwachstelle gefunden. Hiervon betroffen ist eine unbekannte Funktion der Komponente Hotspot. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.06.2012 in Form eines Bulletins an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter oracle.com. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 16.03.2012 mit CVE-2012-1723 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82877) und Secunia (SA49472) dokumentiert.CVSS
Base Score: 8.5 (CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Patch
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Patch: oracle.com
Timeline
16.03.2012 | CVE zugewiesen
12.06.2012 | Advisory veröffentlicht
12.06.2012 | Gegenmassnahme veröffentlicht
12.06.2012 | OSVDB Eintrag erstellt
14.06.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: oracle.com
Koordiniert: Ja
OSVDB: 82877
CVE: CVE-2012-1723 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49472
Diverses: support.apple.com
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
